SafeLaw
AUP-01 · Соответствие PCI DSS: Req 12.2, 12.3, 12.6, 12.7

Политика допустимого использования

Правила использования информационных активов, корпоративных аккаунтов и платёжной инфраструктуры.

ООО «SELLAI» (SELLAI LLC)

Сервис SafeLaw (safelaw.ai)

ИНН 312530703, г. Нукус, Республика Каракалпакстан, Узбекистан

ПОЛИТИКА ДОПУСТИМОГО ИСПОЛЬЗОВАНИЯ ИНФОРМАЦИОННЫХ АКТИВОВ

Документ AUP-01

Версия 1.0

Дата ввода в действие: 15 мая 2026 г.

Соответствие: PCI DSS v4.0.1, SAQ A

1. Назначение

Настоящая Политика допустимого использования (далее — Политика) определяет правила использования информационных активов, систем, оборудования и каналов связи ООО «SELLAI» (далее — Компания) работниками, подрядчиками и иными лицами, имеющими санкционированный доступ к указанным ресурсам. Цель Политики — обеспечить безопасное, корректное и соответствующее законодательству использование информационных ресурсов Компании.

2. Область применения

Действие настоящей Политики распространяется на:

  • всех работников Компании независимо от формы трудовых отношений;
  • подрядчиков, консультантов, исполнителей по гражданско-правовым договорам, имеющих доступ к информационным ресурсам Компании;
  • стажёров и иных лиц, получивших временный доступ к ресурсам Компании.

Положения Политики применяются ко всем используемым устройствам (включая личные устройства, если они используются для служебных целей), сетям, программному обеспечению и сервисам, в том числе облачным.

3. Общие принципы использования

  • информационные активы Компании предоставляются в пользование исключительно для выполнения служебных обязанностей;
  • ограниченное личное использование (например, проверка личной электронной почты) допускается, если оно не мешает выполнению служебных задач, не нарушает законодательства и положений настоящей Политики и не создаёт рисков для безопасности;
  • работник несёт персональную ответственность за все действия, совершённые с использованием его учётных данных;
  • передача учётных данных третьим лицам, включая других работников Компании, категорически запрещена.

4. Аутентификация и пароли

4.1. Требования к паролям

  • минимальная длина — 12 символов;
  • пароль должен содержать буквы и цифры (рекомендуется также использование специальных символов);
  • пароль не должен совпадать с одним из 4 предыдущих паролей пользователя;
  • пароль не должен содержать имя пользователя, имя Компании, очевидные последовательности (123456, qwerty, password и т. п.);
  • плановая смена пароля — не реже одного раза в 90 дней;
  • при подозрении на компрометацию учётной записи пароль изменяется незамедлительно.

4.2. Многофакторная аутентификация (MFA)

Обязательное использование MFA установлено для:

  • учётных записей Google Workspace (электронная почта, документы);
  • учётных записей Cloudflare, Namecheap, банковских личных кабинетов;
  • доступа к административным панелям серверов и баз данных;
  • учётных записей, имеющих доступ к репозиториям исходного кода (GitHub, GitLab и т. п.);
  • любых учётных записей с привилегированным доступом.

4.3. Хранение паролей

  • запрещено записывать пароли на бумажных носителях, оставляемых в открытом доступе;
  • запрещено хранить пароли в незашифрованном виде в файлах, заметках, переписке;
  • для хранения паролей используются специализированные менеджеры паролей (например, 1Password, Bitwarden, KeePassXC);
  • запрещено использовать одинаковые пароли для рабочих и личных учётных записей.

5. Использование электронной почты

Корпоративная электронная почта (домен @safelaw.ai на базе Google Workspace) предоставляется для служебной переписки. При использовании электронной почты работники обязаны:

  • не открывать вложения и ссылки в подозрительных письмах от неизвестных отправителей;
  • проверять адрес отправителя при получении писем, содержащих просьбы о переводе средств, изменении реквизитов, предоставлении паролей или конфиденциальных данных;
  • незамедлительно сообщать о фишинговых письмах по адресу safelawinfo@gmail.com;
  • не пересылать служебную переписку на личные почтовые ящики;
  • не передавать через электронную почту данные платёжных карт, пароли, персональные данные в открытом виде;
  • использовать корпоративные подписи и формулировки, соответствующие имиджу Компании.

Запрещается использование корпоративной почты для:

  • рассылки массовых коммерческих сообщений (спама);
  • распространения материалов, нарушающих авторские права, оскорбительного или дискриминационного содержания;
  • регистрации в развлекательных и иных сервисах, не связанных со служебной деятельностью.

6. Использование интернета и веб-сервисов

  • работники используют интернет преимущественно для решения служебных задач;
  • запрещено загружать на корпоративные устройства программное обеспечение и материалы с непроверенных ресурсов;
  • запрещено посещать ресурсы, распространяющие вредоносное ПО, контент порнографического, экстремистского или иного противоправного характера;
  • при использовании облачных сервисов для служебных целей предпочтение отдаётся официально одобренным сервисам (Google Workspace, утверждённые AI-сервисы);
  • использование новых облачных сервисов для хранения или обработки данных Компании требует предварительного согласования с ответственным за информационную безопасность.

7. Использование служебных и личных устройств

7.1. Служебные устройства

  • на служебных устройствах устанавливается актуальное антивирусное программное обеспечение;
  • операционная система и установленные приложения регулярно обновляются;
  • включается полнодисковое шифрование (FileVault для macOS, BitLocker для Windows, LUKS для Linux);
  • устройство автоматически блокируется после 10 минут бездействия;
  • при утере или краже устройства работник незамедлительно сообщает в Компанию для блокировки доступа.

7.2. Использование личных устройств (BYOD)

Если работник использует личное устройство для служебных целей, на него распространяются следующие требования:

  • устройство защищено паролем, PIN-кодом, биометрической аутентификацией или иной формой блокировки экрана;
  • на устройстве установлено актуальное программное обеспечение и установлены последние обновления безопасности;
  • служебные данные не сохраняются в незашифрованных хранилищах;
  • при прекращении трудовых или иных отношений работник обязан удалить все служебные данные с личного устройства.

8. Удалённый доступ

  • удалённый доступ к корпоративным ресурсам осуществляется только с использованием MFA;
  • при работе с публичными сетями Wi-Fi рекомендуется использование VPN;
  • экран устройства, используемого для работы со служебной информацией в общественных местах, должен быть защищён от посторонних взглядов;
  • запрещено оставлять устройство без присмотра в публичных местах.

9. Защита данных платёжных карт

Учитывая работу Компании с платёжными операциями, всем работникам категорически запрещается:

  • принимать от пользователей данные платёжных карт (номер карты, CVV, PIN, срок действия) по электронной почте, мессенджерам, телефону, в чатах поддержки или иным каналам, минующим платёжный шлюз эквайера;
  • записывать, фотографировать или сохранять данные платёжных карт пользователей в каком бы то ни было виде;
  • обсуждать данные платёжных карт пользователей с коллегами или третьими лицами;
  • разрабатывать программный код, формы или процессы, которые могли бы привести к обработке PAN или SAD на стороне Компании, без предварительного письменного согласования с ответственным за информационную безопасность.

В случае, если пользователь по собственной инициативе направил данные платёжной карты по неподобающему каналу (например, в письме службе поддержки), работник обязан:

  • незамедлительно удалить сообщение, содержащее данные карты;
  • уведомить пользователя о том, что Компания не принимает платёжные реквизиты по электронной почте, и предложить совершить платёж штатным способом через сайт;
  • уведомить ответственного за информационную безопасность.

10. Программное обеспечение

  • на корпоративных устройствах устанавливается только лицензионное или свободно распространяемое программное обеспечение;
  • установка нового программного обеспечения, особенно требующего повышенных привилегий, согласовывается с ответственным за информационную безопасность;
  • запрещается использовать пиратское программное обеспечение, кейгены, кряки и иные средства обхода лицензионных ограничений;
  • использование расширений браузера и плагинов оценивается на предмет рисков для безопасности и конфиденциальности данных.

11. Защита от вредоносного ПО и фишинга

Работники обязаны:

  • проявлять осторожность при открытии вложений и переходе по ссылкам в электронных письмах;
  • проверять адрес отправителя на предмет подделки (например, замены символов в имени домена);
  • не вводить учётные данные на страницах, открытых по ссылкам из писем;
  • при подозрении на заражение устройства вредоносным ПО — немедленно отключить устройство от сети и сообщить ответственному за информационную безопасность.

Признаки потенциального фишинга:

  • неожиданная срочность и угрозы блокировки/штрафа;
  • несоответствие имени отправителя и его адреса;
  • просьбы о переводе денежных средств, изменении банковских реквизитов, предоставлении паролей;
  • вложения с расширениями .exe, .zip, .scr, .docm от неизвестных отправителей.

12. Использование AI-сервисов и сторонних сервисов

При работе со сторонними AI-сервисами (OpenAI, Anthropic, Google Vertex AI и иные) работники обязаны:

  • не передавать в AI-сервисы данные платёжных карт пользователей, пароли, ключи API в открытом виде;
  • ограничивать передачу персональных данных пользователей минимально необходимым объёмом;
  • использовать только официальные интеграции и API, утверждённые Компанией;
  • учитывать, что данные, переданные в AI-сервис, могут обрабатываться поставщиком в соответствии с его политикой.

13. Социальные сети и публичные выступления

  • публикации, связанные с деятельностью Компании, согласовываются с руководством;
  • запрещается раскрывать в социальных сетях информацию о клиентах, партнёрах, внутренних процессах, инфраструктуре, инцидентах;
  • при упоминании Компании в личных публикациях работник указывает, что выражает личное мнение.

14. Запрещённые виды деятельности

При использовании ресурсов Компании категорически запрещается:

  • попытки несанкционированного доступа к информационным системам Компании или третьих сторон;
  • использование Уязвимостей программного обеспечения для целей, не связанных с разрешённым тестированием безопасности;
  • отключение средств защиты (антивирус, межсетевой экран, журналирование);
  • обход средств контроля доступа, парольной защиты, MFA;
  • создание, использование или распространение вредоносного программного обеспечения;
  • намеренное искажение или уничтожение информационных активов Компании;
  • действия, противоречащие законодательству Республики Узбекистан или международным обязательствам Компании.

15. Мониторинг

Компания вправе осуществлять мониторинг использования информационных ресурсов в целях обеспечения безопасности и соблюдения настоящей Политики. Мониторинг может включать:

  • анализ журналов доступа к системам и приложениям;
  • мониторинг сетевого трафика на пограничных устройствах;
  • анализ журналов корпоративной электронной почты при подозрении на инциденты.

Мониторинг осуществляется с учётом требований законодательства Республики Узбекистан о персональных данных и тайне переписки.

16. Ответственность

Нарушение положений настоящей Политики может повлечь:

  • дисциплинарные взыскания в соответствии с трудовым законодательством Республики Узбекистан;
  • прекращение трудовых или гражданско-правовых отношений;
  • гражданско-правовую, административную или уголовную ответственность в установленных законом случаях;
  • возмещение причинённого Компании ущерба.

17. Ознакомление и обязательства

Все работники и подрядчики, на которых распространяется действие настоящей Политики, обязаны ознакомиться с её положениями под роспись при приёме на работу (заключении договора), а также при каждом существенном обновлении Политики. Ознакомление фиксируется в журнале ознакомления с локальными актами по информационной безопасности.

18. Сведения о документе

Версия

Дата

Изменения

Утвердил

1.0

15.05.2026

Первичное утверждение документа

Жумамуратов Р.

Утверждение документа

Настоящий документ утверждён директором ООО «SELLAI» (SELLAI LLC) и вступает в силу с даты подписания. Документ подлежит обязательному ознакомлению всем персоналом, подрядчиками и иными лицами, имеющими доступ к информационным активам ООО «SELLAI».

Директор ООО «SELLAI»:

_________________________ / Жумамуратов Р.

(подпись) (расшифровка)

Дата: «_____» _____________ 2026 г.

М.П.

Связанные политики

ISP-01
Политика информационной безопасности
IRP-01
План реагирования на инциденты
TPSP-01
Управление поставщиками услуг
Сообщить об уязвимости, инциденте или задать вопрос аудитору: safelawinfo@gmail.com